Menaces sur le réseau -Securité informatique

[max-z]

Mac OS X et iOS en tête du classement des failles de sécurité 2015

Presque 400 vulnérabilités ont été trouvées dans le système d’Apple cette année, plus que jamais auparavant. Pour autant, cela ne veut pas dire qu’il est moins sécurisé qu’un autre logiciel.

Voilà un honneur dont Apple aurait peut-être voulu s’en passer. Selon le site CVEdetails.com, Mac OS X se retrouve en tête du classement du nombre de failles de sécurité trouvées en 2015. L’année passée, les chercheurs en sécurité ont trouvé 384 failles dans le système d’exploitation d’Apple. C’est un nouveau record. Il est suivi par un autre OS d'Apple, iOS (375 failles) et de Flash Player (314). A titre de comparaison, 151 vulnérabilités ont été trouvés dans Windows 8.1 et 130 dans Android.

1.jpg

2.jpg

Que peut-on déduire de tous ces chiffres ? Eh bien pas grand-chose en réalité. Le fait que l’on ait trouvé beaucoup de failles de sécurité dans un système ne signifie pas qu’il soit moins sécurisé qu’un autre. Cela veut simplement dire qu’il a été ausculté par un grand nombre de chercheurs en sécurité, ce qui est même plutôt rassurant.

Par ailleurs, ce classement ne tient évidemment pas compte des failles qui n’ont pas été rendues publiques, mais qui peuvent circuler sous le manteau dans le Darknet. Il ne rend pas compte non plus du risque réel lié aux pirates. L’exemple flagrant est iOS. Le système mobile d’Apple totalise trois fois plus de failles qu’Android, alors que ce dernier attire la quasi-totalité des malwares circulant sur smartphones.

La criticité, un indicateur plus intéressant

Il peut être plus intéressant de regarder la criticité moyenne des failles trouvées, car on peut le voir comme un indicateur pour la qualité du code sous-jacent vis-à-vis de la sécurité. Pour Mac OS X, la moyenne pondérée est relativement faible (6,8 sur 10). Les scores les plus bas sont ceux d’Oracle MySQL (5,0), d’Oracle Fusion Middleware (5,4) et de Linux Kernel (5,5). Les scores les plus hauts sont atteints pour Adobe Air SDK (9,6), Adobe Air (9,5), Microsoft Office (9,4) et Adobe Flash Player (9,4).


source :

**Contenu caché: Cliquez sur Thanks pour afficher. **

[ironman]

Basé sur une technologie multiplateforme, le code du malware peut toucher aussi bien des systèmes Windows que Mac OS X ou Linux. Les éditeurs antivirus ont par ailleurs du mal à le détecter.

Pour « Junkcan », utilisateur du forum de BleepingComputer.com, le passage à la nouvelle année a été plutôt amère. Quelques jours avant le réveillon, il découvre que les données de son PC sous Windows 10 ont été chiffrées par un ransomware d’un type nouveau et que beaucoup de logiciels antivirus actuels ne détectent pas encore.


Baptisé « Ransom32 », c’est le premier rançongiciel écrit en JavaScript. Il s’appuie sur le framework NW.js qui permet d’utiliser ce langage Web pour créer de vraies applications « Desktop ». Contrairement aux services Web, qui s’exécutent dans un bac à sable du navigateur, celles-ci ont accès à toutes les ressources de la machine.



Emsisoft - Ransom32 vous prie de passer à la caisse.





Pour le pirate, le principal avantage est que NW.js est multiplateforme. Le même code malveillant peut être diffusé aussi bien sur Windows que sur Mac OS X ou Linux, ce qui lui permet de toucher une population d’utilisateurs beaucoup plus large.


Un effet de levier que les chercheurs de BleepingComputer trouvent plutôt inquiétant, même si pour l’instant les pirates semblent se contenter de cibler le système de Microsoft. « Un autre grand avantage pour le pirate est que NW.js est un framework légitime. Il n’est donc pas étonnant que la détection par signature soit toujours si incroyablement mauvaise deux semaines après la création du malware », explique Fabian Wosar, chercheur en sécurité chez Emsisoft, dans une note de blog. Actuellement, un peu moins de la moitié des 54 éditeurs référencés par VirusTotal.com détectent Ransom32.


Double chiffrement

L’architecture fonctionnelle de ce malware, en revanche, est assez classique. Une fois installé, il entre en contact avec le serveur de commande et contrôle, au moyen d’un client Tor embarqué. Après avoir récupéré les éléments cryptographiques, les données sont chiffrées en AES 128 bit. Le malware utilise pour chaque fichier une clé de chiffrement différente. Celle-ci est ensuite chiffrée à son tour par une clé publique RSA du pirate. La clé privée correspondante n’étant pas stockée sur la machine, il est impossible de déchiffrer les données sans l’aide de ce dernier.



Emsisoft - Interface d'administration de Ransom32

A noter, enfin, que Ransom32 fait partie de la famille sans cesse grandissante des « ransomware-as-a-service ». Création et gestion du malware sont totalement automatisées, tout se faisant en ligne. Pas besoin de savoir coder pour le diffuser. En contrepartie, le gestionnaire de la plateforme d’administration se prend une marge de 25 % sur les paiements effectués par les victimes. En mai 2015, McAfee avait déjà détecté une première plateforme de ce type, sous le nom de « Tox ».

[ironman]

L’arrêt de cet algorithme de chiffrement est entravé par l’incompatibilité de certains terminaux ou produits de sécurité. Les acteurs du web comme Mozilla ou Facebook sont pour l’instant contraint de le garder en magasin contre leur volonté.

Séquence rétropédalage chez Mozilla. L’éditeur vient de diffuser la mise à jour 43.0.4 de son navigateur Firefox avec comme principal changement l’autorisation générale des certificats de sécurité HTTPS basés sur SHA-1. C’est un retour en arrière, car depuis le 15 décembre dernier, le navigateur open source avait partiellement bloqué ce type de certificats, dans le but de les bloquer totalement d’ici au 1er janvier 2017 pour ne plus qu’autoriser SHA-2, son successeur. Pourquoi ? SHA-1, algorithme cryptographique utilisé pour la signature des certificats, n’est plus tellement sécurisé. En octobre dernier, trois chercheurs en sécurité ont tiré la sonnette d’alarme. Ils ont montré qu’une infrastructure de calcul de 75.000 dollars suffisait désormais pour le casser, ouvrant la porte à l’usurpation de sites web.






Mais Mozilla a été contraint de faire marche arrière, car le blocage partiel de SHA-1 empêchait certains internautes, dont la connexion passait par un proxy SSL, d’accéder au web. Les proxies SSL sont utilisés en entreprise ou dans certains produits de sécurité grand public pour intercepter et déchiffrer les flux web, dans le but de détecter des menaces. Pour cela, ils utilisent des certificats faits maison, basés parfois sur SHA-1. Résultat : l’internaute arrivait alors systématiquement sur un message d’erreur. Dans la version 43.0.4, ce dysfonctionnement n’existe plus. La fondation ne compte pas stopper pour autant l’arrêt progressif de SHA-1 dans son navigateur, mais il doit désormais attendre que les éditeurs de proxy SSL fassent le premier pas.


6 % des navigateurs en Chine sont incompatibles

Il n’y a pas que chez Mozilla que l’algorithme SHA-1 crée des soucis. Selon MIT Technology Review, les grands acteurs du Net tels que Facebook ou CloudFlare sont également contraints de préserver cette technologie peu sécurisée pour ne pas se couper des utilisateurs situés dans les pays en voie de développement en Asie et en Afrique. Une part non négligeable d’entre eux utilise, en effet, des terminaux anciens ou peu évolués, incompatibles avec SHA-2. Selon CloudFlare, qui opère un réseau mondial d’acheminement de contenus multimédias, plus de 6% des navigateurs en Chine ne supporte pas SHA-2. Ce qui représente quand même plusieurs dizaines de millions d’utilisateurs.


Bref, même si le manque de sécurité de SHA-1 est désormais bel et bien démontré, il faudra encore le trainer comme un boulet pendant un certain temps…

[shiver]

Le 23 décembre dernier, l'Ukraine a été victime d'une panne électrique importante, touchant durant plusieurs heures quelque 700 000 foyers. Et selon les premiers rapports d'experts, c'est bel et bien un virus qui en serait à l'origine. Il s'agirait alors de la première attaque réussie contre une installation industrielle vitale d'un pays.

Le scénario a déjà été évoqué en fiction, et même considéré sérieusement par nombre de gouvernements. Mais il ne s'était jusqu'alors pas encore produit. La possible attaque contre le réseau électrique ukrainien ravive les craintes d'une attaque informatique de grande ampleur contre une infrastructure vitale.

À la fin du mois dernier, les installations de la société Prykarpattyaoblenergo situées dans la région d'Ivano-Frankivsk n'ont pu distribuer l'énergie correctement, suite à une panne importante.

Très rapidement, l'hypothèse d'une cyberattaque russe a fait son chemin, notamment auprès du gouvernement ukrainien, sans pour autant obtenir de confirmation.

Depuis, différentes sociétés de sécurité informatique, dont Eset, éditeur de NOD32, ont communiqué sur l'incident, assurant avoir établi un lien entre cette panne électrique et un malware nommé BlackEnergy.

Ce cheval de Troie, découvert en 2007, a, depuis, évolué et aurait notamment gagné de nouveaux composants, dont un serveur SSH et un utilitaire nommé KillDisk. Ce dernier, dont le nom est sans équivoque, est chargé de détruire des portions de disques durs, et les données qui s'y trouvent.

D'après Eset, le code malveillant était simplement dissimulé dans un document Office, puis déployé dans le système de Prykarpattyaoblenergo. L'éditeur n'est toutefois pas certain du rôle de KillDisk : a-t-il servi directement à mettre hors service le réseau, ou servait-il simplement à ralentir son redémarrage ? Autre hypothèse : les responsables de la société de distribution d'énergie auraient coupé eux-mêmes le réseau après s'être aperçus du piratage.

Quoi qu'il en soit, si le piratage est avéré, il restera à en établir la source. Avec des conséquences politiques et diplomatiques qui pourraient être significatives.


Sujet déplacé et fusionné.

[rubicube]

L'année 2016 verra un changement majeur dans la façon dont opèrent les cybercriminels. Le domaine probablement le plus impacté par cette refonte sera celui des PUA, dont l'activité s'est déjà accrue sur des plates-formes telles que Mac OS X et Android.

​
Suite aux nombreuses fermetures de réseaux de machines zombies et arrestations en 2015, les nouveaux cybercriminels transiteront probablement vers des systèmes de monétisation publicitaire spécifiques aux adwares agressifs, plutôt que de développer de nouvelles souches de malwares. Si pour le moment les botnets constituent toujours une partie importante de l'écosystème de la cybercriminalité, nous assisterons à une augmentation de la sophistication des PUA et des programmes incluant plus de greywares à l'installation.

La publicité sur le Web va également évoluer : étant donné le taux d'adoption ainsi que la popularité des bloqueurs de publicités, les régies publicitaires chercheront à utiliser des mécanismes plus agressifs afin de contourner ces blocages.

Les APT abandonneront le facteur de longévité

Les entreprises et les institutions gouvernementales feront toujours face à des attaques de ce type tout au long de 2016. Cependant, les APT (Advanced Persistent Threats, menaces persistantes avancées) mettront l'accent sur l'obfuscation et la récolte d'informations plutôt que sur la longévité. Les pirates ne s'infiltreront sur le réseau de l'entreprise que quelques jours, voire quelques heures.

Le monde de l'entreprise connaîtra une augmentation des attaques ciblées et des bots fortement obfusqués, avec une courte durée de vie et des mises à jour fréquentes, estime Dragoş Gavriluţ, Chef d'équipe au sein des Laboratoires antimalwares de Bitdefender. La plupart de ces attaques se spécialiseront dans le vol d'informations.

Également, l'évolution latérale de l'infrastructure des fournisseurs de services Cloud ira de pair avec l'avènement d'outils permettant aux pirates de compromettre l'hyperviseur à partir d'une instance virtuelle et de passer d'une machine virtuelle à l'autre. Ce scénario est particulièrement dangereux dans des environnements de « mauvais voisinage », où un tiers mal intentionné serait amené à partager des ressources sur un système physique avec un fournisseur de services ou une entreprise légitimes.

Des malwares mobiles de plus en plus sophistiqués

Du côté des particuliers, les types de malware sous Android sont désormais globalement les mêmes que sous Windows. Alors que les rootkits sont en perte de vitesse sur Windows, ils vont probablement devenir monnaie courante sur Android et iOS, car les deux plates-formes sont de plus en plus complexes et offrent une large surface d'attaque, affirme Sorin Dudea, Chef de l'équipe de recherche antimalwares.

De nouveaux malwares mobiles, aux comportements similaires à ceux des vers, ou un réseau botnet mobile géant, sont deux autres possibilités envisagées pour l'année prochaine, selon Viorel Canja, Responsable des Laboratoires antimalwares et antispam chez Bitdefender. Ces attaques pourraient être la conséquence de techniques d'ingénierie sociale ou de l'exploitation de vulnérabilités majeures (telles que Stagefright) sur des plates-formes non patchées.

L'Internet des Objets (IOT) et la vie privée



La façon dont nous gérons notre vie privée va aussi changer durant l'année 2016. En effet, les récents vols de données ont contribué à mettre une quantité importante d'informations personnelles en libre accès sur Internet, rendant ainsi le « doxing » (processus de compilation et d'agrégation des informations numériques sur les individus et leurs identités physiques) beaucoup plus facile pour des tiers.

Les objets connectés vont devenir de plus en plus répandus, donc plus attrayants pour les cybercriminels. Compte tenu de leur cycle de développement très court et des limites matérielles et logicielles inhérentes à ce type d'objet, de nombreuses failles de sécurité seront présentes et exploitables par les cybercriminels ; c'est pourquoi la plupart des objets connectés seront compromis en 2016, ajoute Bogdan Dumitru, Directeur des Technologies chez Bitdefender.

Également, les réglementations de surveillance de type « Big Brother », que de plus en plus de pays essaient de mettre en place pour contrecarrer le terrorisme, déclencheront des conflits quant à la souveraineté des données et le contrôle de leur mode de chiffrement.

Les ransomwares deviennent multiplateformes

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l'un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l'approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l'extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

Les ransomwares visant Linux vont se complexifier et pourraient tirer parti des vulnérabilités connues dans le noyau du système d'exploitation pour pénétrer plus profondément dans le système de fichiers. Les botnets qui forcent les identifiants de connexion pour les systèmes de gestion de contenu pourraient aussi se développer. Ces identifiants pourraient être ensuite utilisés par les opérateurs de ransomwares visant Linux pour automatiser le chiffrement d'une partie importante d'Internet.

Enfin, les ransomwares chiffrant les fichiers s'étendront probablement aux systèmes sous Mac OS X, corrélant ainsi avec les travaux de Rafael Salema Marques et sa mise en garde illustrée autour de son ‘proof of concept' malware nommé Mabouia. En effet, si le principe de conception de Mabouia reste pour le moment privé, il pourrait être créé par des cybercriminels enrichissant alors leurs offres orientées MaaS (Malware-As-A-Service).


Sujet fusionné.

[ironman]

Applis malveillantes sur Smart TV sous Android, dongles de streaming media bardés de failles… les téléviseurs connectés sont une cible facile.

Les télés connectées ont de plus en plus de succès, mais pas seulement chez les consommateurs. Les pirates aussi s’y intéressent beaucoup, et cela d’autant plus que les systèmes proposés ne respectent pas forcément les bonnes pratiques en matière de sécurité. Deux sociétés spécialisées en sécurité viennent de révéler presque concomitamment des failles majeures dans ce domaine.


La première, Trend Micro, a détecté des applications malveillantes pour Smart TV sous Android. Diffusées par des sites web tiers, elles proposent à l’utilisateur de regarder des chaînes internationales, par exemple asiatiques. Mais en réalité, elles installent une porte dérobée qui permet au pirate d’installer n’importe quelle application sur le téléviseur. Il pourra donc, à partir de là, mettre la main sur des données personnelles et infecter d’autres appareils connectés au réseau domestique.


Trend Micro - Un site de malwares pour Smart TV






Le code malveillant s’appuie sur une faille plutôt ancienne (CVE-2014-7911) qui n’existe que dans les versions d’Android antérieures à Lollipop (5.0). Mais malheureusement « la plupart des smart TV utilisent des versions anciennes d’Android où cette faille est présente », explique Trend Micro. Par ailleurs, une mise à niveau du système n’est pas toujours possible car ces télés « sont limitées au niveau du hardware ». Le principal conseil que l’on peut donc donner est de ne pas télécharger des applications sur des boutiques applicatives inconnues et de se limiter à Google Play.


Un hotspot wifi bien peu sécurisé

La société Check Point, de son côté, s’est penché sur le dongle EzCast fabriqué par Action Micro. A l’instar du Google Chromecast (dont elle copie d’ailleurs le design matériel), cet objet connecté permet d’afficher le contenu d’un ordinateur sur un écran télé. Il serait utilisé par plusieurs millions de personnes dans le monde, d’après le fournisseur. Les experts de Check Point y ont détecté d’emblée deux vulnérabilités permettant aux pirates d’en prendre le contrôle à distance. Il suffit, pour cela, d’envoyer un email avec un lien HTML piégé.


EzCast - Si le pirate se trouve à proximité de sa victime, il peut également s’attaquer directement à l’EzCast, car celui-ci crée en permanence son propre hotspot wifi, sécurisé uniquement par un mot de passe constitué de huit chiffres. « Une telle combinatoire est trop limitée. Un hacker peut le casser par force brute en l’espace de vingt minutes », explique Thierry Karsenti, vice-président technique Check Point Europe. Contacté par l’éditeur en juillet dernier, le fabricant n’a jusqu’à présent donné aucune réaction. Les utilisateurs n’ont donc, à ce jour, aucun moyen pour se protéger. Mieux vaut donc opter pour une solution alternative.

[ironman]

Il a fallu exactement 30 secondes aux chercheurs en sécurité de Google pour détecter une faille qui permet d’exécuter du code arbitraire à distance et voler tous les mots de passe des utilisateurs. Heureusement, un patch est disponible.

Ce n’est pas l’arroseur arrosé, c’est l’arroseur trempé jusqu’au cou en train de se noyer. Il y a quelques jours, le chercheur en sécurité Tavis Ormandy de Google a mis la main sur une énorme faille de sécurité dans l’antivirus Trend Micro, permettant de pirater à distance l’ordinateur sur lequel il était installé.


Depuis un site web, un pirate pouvait faire exécuter n’importe quel code sans que cela nécessite une interaction de la part de l’utilisateur. Par exemple : installer un malware, désinstaller l’antivirus, effacer le disque dur, etc. Il pouvait également récupérer en clair tous les identifiants web stockés par le gestionnaire de mots de passe de Trend Micro. Pour réaliser ces attaques, il suffisait que l’utilisateur clique sur un lien web piégé. C’est tout.






Le pire, c’est que cette faille n’était pas difficile à trouver. Tavis Ormandy explique avoir mis « exactement 30 secondes » pour réaliser une exécution de code arbitraire à distance. Le problème se trouve dans le gestionnaire de mots de passe de Trend Micro. Celui-ci est écrit en Javascript et acceptait librement tout un tas de requêtes au travers d’une interface de programmation (API) remarquablement mal écrite. Selon Tavis Ormandy, « près de 70 API »étaient accessibles depuis le web. Parmi elles figuraient, entre autres, la copie de la base de mots de passe ainsi que son déchiffrement à distance. Rarement un piratage n’aura été aussi simple !


Et ce n’est pas tout. Au passage, Tavis Ormandy découvre que le navigateur embarqué de Trend Micro, baptisé « Secure Browser », est en réalité une vieille version de Chromium (41) dans lequel le bac à sable – une fonction de sécurité de base dans les navigateurs - a été désactivé par défaut. « C’est la chose la plus ridicule que je n’ai jamais vue », souligne le chercheur en sécurité. Très poli dans ses répliques, l’éditeur Trend Micro a bien évidemment reconnu ses erreurs. Il vient de publier un patch qu’il est vivement conseillé de télécharger.

[ironman]

Selon un classement établi parSplashdata, et basé sur deux millions de données en Europe et aux Etats-Unis, les mots de passe les plus utilisés sur Internet sont toujours les plus simples à trouver.
Depuis 4 ans, « 123456 » et « Password » occupent les deux premières places du podium. Entre la déclinaison à 4 chiffres ( « 1234 ») et celle à 9 chiffres (« 123456789 »), la série de chiffres toute bête occupe six places parmi les dix premières, c’est dire si le danger est grand de se voir piraté !
Du côté des mots de passe avec du sens, « Football » (7e) et « baseball » (10e) font leur entrée dans le top 25 cette année et sont les plus prisés côté sports. « Welcome » arrive 11e.
« Dragon », « Master » et « Monkey » sont des classiques du genre tandis qu’ont débarqué en force cette année les mots de passe inspirés par Star Wars : « Princess », « Solo » et Starwars » se font une place dans le top 25.
Top 25 des mots de passe les plus utilisés en 2015 :


1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. football
8. 1234
9. 1234567
10. baseball
11. welcome
12. 1234567890
13. abc123
14. 111111
15. 1qaz2wsx
16. dragon
17. master
18. monkey
19. letmein
20. login
21. princess
22. qwertyuiop
23. solo
24. passw0rd
25. starwars

**Contenu caché: Cliquez sur Thanks pour afficher. **

La lutte incessante contre les botnets soulève de nouvelles questions et Microsoft s'interroge sur la prise de contrôle à distance des PC.

Ces dernières années, la division de sécurité de Microsoft renforce ses efforts pour lutter contre le spam. Outre les travaux effectués sur les filtres de ses logiciels, Microsoft s'attaque directement aux botnets en partenariat avec les forces de l'ordre, Interpol et divers spécialistes de la sécurité.

Microsoft a ainsi pris part aux enquêtes et mené à bien la fermeture de plusieurs réseaux d'ordinateurs zombis comme Waledac, Kelihos, Rustock, Nitol ou encore Simba. Ce dernier, par exemple, avait infecté 770 000 machines en six mois en téléchargeant des malwares pour la prise de contrôle à distance des PC.

Selon le magazine The Register, John Frank, vice-président des affaires gouvernementales chez Microsoft Europe, explique : « Nous pouvons détecter jusqu'à quatre fois par heure lorsque votre PC est infecté et renvoie des informations à un tiers ». L'homme affirme que la lutte pourrait être plus efficace avec une meilleure coordination entre les sociétés technologiques et les différentes autres autorités.



M. Frank soulève quelques questions qui pourraient redessiner la sécurité informatique dans sa globalité. « Dans votre voiture, vous seriez immédiatement arrêtés si quelque chose ne fonctionnait pas », affirme-t-il. Et d'ajouter que si les voitures non sécurisées n'ont pas le droit de circuler librement, pourquoi un PC infecté pourrait-il se connecter sur Internet, surtout s'il est indirectement utilisé pour commettre un crime ?

La position de Microsoft est donc assez ambiguë. D'une part, John Frank est précisément chargé de veiller à ce qu'aucun backdoor ne soit mis en place permettant aux autorités d'accéder aux données non chiffrées des utilisateurs européens sans leur consentement, mais d'autre part il suggère pouvoir accéder aux PC des internautes pour en couper leur accès à Internet lorsqu'ils sont infectés.












LastPass : attention, vos mots de passe ne sont pas en sécurité








Un site Web piégé suffit pour compromettre les données d’un utilisateur du service de gestion de mots de passe multi-plates-formes LastPass pour peu qu'il ne soit pas très attentif. Explications.

Si vous êtes utilisateur de LastPass, vérifiez bien où vous mettez votre mot de passe maître lors de votre prochaine connexion. Car il pourrait s’agir d’une tentative de phishing.


A l’occasion de la conférence Shmoocon 2016, le chercheur en sécurité Sean Cassidy a expliqué qu’une telle attaque n’était pas très compliquée à réaliser sur un navigateur Web et il en a fait la démonstration sur Google Chrome.
Intitulée « LostPass », son attaque s’appuie tout d’abord sur une faille de type « Cross-site-request-forgery » (CSRF) dans l’interface de programmation de LastPass. Désormais corrigée, elle permettait à n’importe quel site Web de déconnecter un utilisateur de ce gestionnaire de mot de passe. Un attaquant pouvait donc créer un site Web doté de cette fonctionnalité, puis afficher dans la fenêtre du navigateur le bandeau de notification correspondant (« Votre session LastPass a expiré. Reconnectez-vous. »).








Si l’utilisateur tombe dans le panneau, l’attaquant lui présente une copie parfaite de l’écran d’authentification, pour récupérer les identifiants et se connecter dans la foulée à LastPass. Si ce dernier demande un deuxième facteur d’authentification, pas de problème : l’attaquant peut proposer là aussi le bon écran pour récupérer ce deuxième code secret. Et bingo, il a accès à toute la base de données de mots de passe.


Durant ces dernières étapes, bien que cela soit difficile à découvrir, un utilisateur attentif pourrait remarquer le pot aux roses, car l’URL n’est pas correcte.


Sur Firefox, l’attaque est plus compliquée à mener. Les notifications et les écrans de connexion n’apparaissent pas dans une page HTML du navigateur, mais dans des fenêtres séparées dont l’allure dépend du système d’exploitation. Toutefois, il n’est pas impossible de réaliser un leurre plus ou moins convaincant. « J’ai réalisé une version expérimentale [de l’attaque] pour Firefox sur OS X et Windows 8 », souligne le chercheur en sécurité dans une note de blog.
Une série de contremesures

Contacté par Sean Cassidy, LastPass a depuis corrigé la faille CSRF. Toutefois, cela n’aurait pas été suffisant, car un utilisateur pourrait très bien ne pas remarquer qu’il est toujours connecté et se laisser berner quand même. L’éditeur a donc mis en place un dispositif qui alerte automatiquement l’utilisateur s’il insère son mot de passe maître dans une page web qui n’appartient pas à LastPass. Il a également généralisé sa procédure de vérification par email à toute tentative de connexion venant d’une adresse IP ou d’un terminal inconnu, que l’utilisateur dispose d’une authentification en deux étapes ou non. « Cela atténue l’attaque de manière considérable, mais ne l’élimine pas », estime pour sa part Sean Cassidy, sans donner davantage de précisions.

[ironman]

Les BIOS et autres UEFI sont de plus en plus la cible de logiciels malveillants particulièrement pernicieux. Un service en ligne permet désormais de les ausculter.

Parmi les infections informatiques les plus redoutables figurent sans nul doute celles qui visent le logiciel qui permet de démarrer le système d’exploitation. Le pirate qui arrive à se loger dans cette partie de l’ordinateur est particulièrement bien à l’abri, car les antivirus sont incapables de le détecter. Autre avantage : le code malveillant reste sur l’ordinateur même si le système est totalement réinstallé. Ce type de malware est donc idéal pour l’espionnage et très vogue chez les agences de renseignement et autres officines privées.


Pour lutter contre ce fléau, le site de détection de malware VirusTotal propose désormais un service d’analyse des BIOS. Celui-ci va, par exemple, comparer le code exécutable du firmware aux codes diffusés par les fournisseurs, ce qui permet de détecter son origine. S’il n’y a aucune différence entre les deux codes, c’est évidemment un bon signe.

Le service d’analyse va également décortiquer le logiciel en ses différents constituants applicatifs pour détecter, le cas échéant, une anomalie. Une rubrique particulièrement intéressante est celle des « exécutables Windows ». En théorie, un BIOS ne devrait pas en avoir. S’il y en a, deux solutions : soit le fournisseur s’appuie sur le BIOS pour injecter des applications faites maison dans Windows, soit c’est un malware.



Dans certains cas rares, l’application faite maison est en même temps un malware. VirusTotal référence, à titre d’exemple, le cas de Lenovo et de soninjecteur de pourriciels, désigné ici par « NovoSecEngine2 ».



Dans une note de blog, VirusTotal fournit une liste d’outils permettant de réaliser une copie de son propre BIOS. Il suffit ensuite de le téléverser auprès de la société pour qu’elle puisse en faire l’analyse. Il y a néanmoins un bémol : certains malwares de BIOS sont tellement sophistiqués qu’ils reconnaissent la présence d’un tel outil et arrivent à gommer les anomalies au moment de la copie. Selon VirusTotal, le moyen le plus sûr est encore « de se connecter physiquement à la puce du BIOS et de faire un dump de façon électronique ». Ce qui n’est pas forcément à la portée de tout le monde.

**Contenu caché: Cliquez sur Thanks pour afficher. **

[ironman]

Une librairie open source permet aux développeurs de diffuser des mises à jour d’applications mobiles en court-circuitant le processus de vérification d’Apple. Une bonne idée, mais une pratique plutôt risquée.

La réputation d'Apple et de son App Store en matière de sécurité n'est plus à faire. Pourtant, les analystes de FireEye viennent de sonner l’alerte sur une technique qui permet de contourner les procédures de vérification draconiennes de la firme de Cupertino et de télécharger du code arbitraire dans une application. L'idée est de s'appuyer sur JSPatch, une librairie tierce qui permet à une application iOS de télécharger du code JavaScript depuis le Web, de le transformer un code Objective-C – le langage de programmation historique d'Apple – puis de l'injecter à la volée dans l'application en question.

Le code de JSPatch est disponible en open source sur GitHub. Il a été créé par un informaticien chinois qui se fait appeler « band590 » et dont la motivation est assez légitime. Sa librairie permet en effet d’apporter des mises à jour urgentes aux applications sans passer par la procédure de vérification d’Apple qui nécessite souvent plus d’une semaine. Le problème, évidemment, c’est que JSPatch peut être utilisé de façon malveillante.

Un pirate pourrait ainsi créer une application en apparence inoffensive qui, une fois installée sur un terminal, téléchargerait un malware directement depuis Internet. L’utilisateur n'y verrait que du feu. Autre méthode d’attaque : un pirate pourrait intercepter un code JavaScript inoffensif et le remplacer par une version malveillante, sans que l’utilisateur ou le développeur n'aient le moindre doute.



FireEye -FireEye donne quelques exemples d’exploitation malicieuse, comme l’accès au répertoire des photos, au presse-papier (très utile pour siphonner les mots de passe) ou encore aux paramètres systèmes de bas niveau.
Dans ce dernier cas, FireEye utilise en effet les interfaces de programmation dites « privées » réservées à Apple. Une application qui en ferait usage serait automatiquement bloquée au niveau de l’App Store… sauf évidemment si le code n’est injecté que par la suite avec JSPatch.
Mais il ne faut pas dramatiser non plus cette trouvaille. Selon FireEye, il n’existe pour l’instant que 1220 applications qui utilisent cette librairie. C’est une goutte d’eau dans l’océan de l’App Store et cela concerne avant tout avec des applications chinoises. Pour l’instant, le problème est donc marginal, mais il pourrait faire tache d’huile.

**Contenu caché: Cliquez sur Thanks pour afficher. **